د ايس کيو ايل د زرق څه ده؟

د ځايونه او د ويب پاڼو شمېر د ودې په تدريجي. د ټولو هغو څوک کولای شي د پرمختګ لپاره دي. او novice ويب پرمختگپالونکي زياتره ناخوندي او کلن کود وکاروي. او دا کار لپاره یو جنايتکاران او هېکرانو د خلاء ډېر پيدا کوي. په پرتله دي. د ايس کيو ايل د پیچکاریو - د ټولو کلاسيک زیانمننې یو.

د تيوري څه

ډېر خلک پوه شي چې د ځايونو او خدمتونو د شبکې اکثریت دي د ايس کيو ايل ډیټابیس د ساتلو په کارولو. دا یو جوړې شوې پوښتن ژبه چې تاسو ته اجازه د کنټرول او د معلوماتو د زيرمه کولو اداره کړي. سينه_پوښ، مای، Postgre - د ډیټابیس د مدیریت د سیستم ډیټابیس بیلابیلو نسخې شته. د نوم او د ډول پرته، دوی د همدې پوښتنې د معلوماتو وکاروي. دلته ده چې د احتمالي زيان په کې پروت دی. که د پراختیا د ناکام په سمه توګه سمبال کړي او خوندي غوښتنه، د يو بريد کولای شي د دې څخه ګټه پورته کړي او د ډیټابیس لاس رسي پيدا کړي، او بيا ځانګړي تکتیکونه کاروي - او د ځای د ټولو مدیریت.

د داسې حالاتو د مخنيوي، تاسو باید د قانون په سمه توګه ورسيږي او له نژدې څخه په داسې ډول چې په يوه غوښتنه ده پروسس څارنه وکړي.

د ايس کيو ايل د پیچکاریو وګورئ

چې په شبکه کې یو زیان مننی د حضور لري د پای ته اتومات سافټ د سیستم یوه وزن. خو دا ممکنه ده چې یو ساده پوستې لاسي ترسره کړي. د دې، چې د ازموینې ځایونو ته ولاړ شی او په پته پټه هڅه یو ډیټابیس ګمراهۍ سبب شي. د مثال په توګه، پر ځای د يو سکرېپټ د نه په غوښتنه سمبال کړي او له هغوی سره نه جدا شي.

د مثال په توګه، هلته nekiy_sayt / index.php؟ Id = 25

د اسانه لاره - د quote وروسته 25 او په غوښتنه واستوي. که نه ګمراهۍ، يا په ساحه او چاڼګر وشوه ټولې غوښتنې په سمه اداره، او یا د خپل محصول امستنې کار نکوی. که يو مخ سره د ستونزو د بيا ولېښل شوې ده، بيا د ايس کيو ايل د پیچکاریو د زیان دی.

وروسته له هغې شو، تاسو کوښښ کولی شې د دا بېغمه.

د دې زیان مننی د اړتیا په اړه لږ پوه پلي ايس کيو ايل-پوښتنو لوبډلو. د هغوی یو - اتحاد. دا څو پوښتنې پايلې ترځو په ګډه په يو. نو موږ کولای شو د جدول په برخو کې د شمېر محاسبه کړي. بيلګي په لومړي سر سمون نه خوری ده:

• nekiy_sayt / index.php؟ id = 25 اتحادیه منتخب 1.

په ډيرو مواردو کې، د دې ریکارډ باید یوه تېروتنه رامنځته. دا په دې مانا چې د کروندو د شمېر په دې ډول برابر 1. نه ده، د ټاکلو د 1 او يا هم زيات د غوراوي، دا ممکنه ده چی د دوی د کره شمېر د جوړولو:

• nekiy_sayt / index.php؟ id = 25 اتحادیه منتخب 1،2،3،4،5،6.

دا ده، کله چې غلطي به نه ښکاري، چې دا مانا لري، چې د کروندو شمېر فکر.

د دې ستونزې د يو بديل حل لاره هم شتون لري. د مثال په توګه، کله چې د برخو کې يو زيات شمېر - 30، 60 او یا 100. دا امر د ډلې له خوا. دا ډلې د هر میدان کې د نه خوری، د مثال په توګه ID پایلې:

• nekiy_sayt / index.php؟ id = 5 25 ډله ده.

که تېروتنه شوې نه ترلاسه کړ، نو 5. په برخو کې زیات په دې ډول، د يوه نسبتا پراخې لړۍ څخه انتخاب دې بدلون، دا ممکنه ده چې په حقيقت کې يې څومره محاسبه کړي.

دا مثال په توګه د ايس کيو ايل د پیچکاریو - د لومړنیو چې غواړي د خپل ځای د ازمايښت په خپله هڅه وکړي. دا مهمه ده چې د جزا د قانون د بل موجود ماده له اجازې پرته د لاسرسي لپاره چې په یاد.

د زرق اصلي ډولونه

په څو embodiments له خوا د ايس کيو ايل د پیچکاریو زیان پلي کړي. بل تر ټولو مشهور میتودونه عبارت دي له:

• د اتحاد دپوښتنی سره د ايس کيو ايل زرق. د دې ډول يو ساده مثال په توګه لا معاينه شوي دي پورته. دا له امله په راتلونکي مالومات، چې د فلتر نه کتلو کې تېروتنه پوه دی.

• تېروتنه پر بنسټ د ايس کيو ايل زرق. لکه څنګه چې د نوم څخه ښکاریږی، دا ډول هم یوه تېروتنه کاروي، څرګندونې جوړ syntactically ناسم استوي. بيا د ځواب د سرکي، تحلیل چې کولای شي څخه وروسته د ايس کيو ايل د پیچکاریو شي ترسره د خمنیوی شته.

• دلۍ شوې د ايس کيو ايل پوښتنو زرق. دغه زیان له خوا د پرله پسې غوښتنو ترسره ټاکل کيږي. دا خصوصيات د ننوتنه یا په پای کې سربېره له خوا ده "؛". دا تګلاره اکثرا پلي د لوستلو او معلومات وليکي او يا چليز غونډال د دندو د پلي کولو ته لاسرسی، که د وکالت اجازه ورنه کړي.

د ايس کيو ايل-زیانمننې په لټه سافټ

د ايس کيو ايل د پیچکاریو شته، د دې پروګرام معمولا دوه جزه لري - د يو ځای د ممکنه زيان مننې او شل ته د معلوماتو د لاس رسي پيدا کړي يې وکاروي. ناڅه د ټولو مشهور د مسولانه ځینې وسایل شتون لري. د هغوی فعالیت ډیره اسانتیا برابروي ویب کتلو ستاسو د ايس کيو ايل د پیچکاریو ونيسي.

Sqlmap

ډېر پياوړي سکنر چې د ټولو ډيټابيس کې کار کوي. دا د ايس کيو ايل د پیچکاریو د پلي کولو د مختلفو ميتودونو څخه ملاتړ کوي. دا توان چې د پټنوم د چرسو د چاوديد او قاموس د ډول په اتوماتيک ډول په رسمیت لري. حاضر او فعال د دوتنې پورته کول او دانلود یوه د پالنګر څخه.

لینوکس نصب ده د امر په کارولو سره ترسره:

• git د ورايټۍ https://github.com/sqlmapproject/sqlmap.git sqlmap-DEV،
• cdsqlmap-DEV /،
• ./sqlmap.py --wizard.

د وينډوز په توګه سره د بولۍ ليکه او کښنیز کارن برسیر یو انتخاب موجود دی.

jSQL مینی

jSQL مینی - د ايس کيو ايل زیانمننې د کارولو ازمایښت یو Cross-پلاتفورم وسیله. نوشته په جاوا، نو د سیستم باید نصب شي JRE. قادر تر لاسه غوښتنې، پوسټ، سرۍ، ککوړی سمبال کړي. دا یو مناسب کښنيز ليدنمخ.

د دې سافټ بسته نصب په لاندې ډول ده:

wget https://github.com/`curl ته -S https: //github.com/ron190/jsql-injection/releases | grep-پست -o '/ron190/jsql-injection/releases/download/v[0-9]{1،2}.[0-9]{1،2}/jsql-injection-v[0-9] . {1،2} [0-9] {1،2} .jar '| سر-N 1`

پيل له خوا د قوماندې د جاوا په کارولو -jar ./jsql-injection-v*.jar ده

د دې لپاره چې د ايس کيو ايل زیان مننې د ازموینې ځای پیل، تاسو باید د ادرس په سر ډګر ته ننوځي. دوی لپاره ترلاسه او وروسته جلا. سره يو مثبت پايله کې، د شته جدولونه چې لست به په پاتې کړکۍ ښکاري. تاسو کولای شی د هغوی د کتلو او ځینې محرم معلومات زده کړي.

ټب «اداري مخ» لپاره کارول کيږي چې د اداري تختو پيدا کړي. دا له خوا د ځانګړو کينډۍ وسيلې په اتوماتيک ډول پلټنه د سيستم امتياز کاروونکو ثبتوي. له هغوی څخه تاسو کوالی شئ یوازې د پټنوم د يو مخلوط ترلاسه کړي. خو په د دغه پروګرام په ټولباکس هغه لري.

د ټولو د زیانمننې او د زرق ضروري پوښتنو موندلو وروسته، د وسیله به د پالنګر ته ستاسو په دوتنه د ډکولو او یا برعکس، له شته دا دانلود اجازه.

SQLi Dumper v.7

دا پروګرام - آسانه لپاره د ايس کيو ايل زیانمننې د موندلو او د پلي کولو وسیله وکاروي. دا توليدوي د ملګرو ملتونو پر Dorcas تش په نامه ولاړه ده. د هغوی لست د انټرنټ وموندل شي. Dorca لپاره د ايس کيو ايل د پیچکاریو - دا د لټون پوښتنو ځانګړي کينډۍ دي. هغوی په مرسته سره، تاسو کولای شی هر ډول د پلټنې ماشین له لارې بالقوه منونکو ځای پيدا کړي.

د روزنی لپاره د وسیلې

Itsecgames.com پر ځای د وسایلو یوه ځانګړې ټولګه چې اجازه ورکوي د مثال په توګه په ګوته کوي چې څنګه د ايس کيو ايل زرق کوي او امتحان دا شته. د دې لپاره چې ګټه، دا ضروري د وورد او نصب دی. د آرشيف د هغو فايلونو ټولګه، چې د ځای د جوړښت دی، شامل دي. د لګولو لپاره دا کار به په د اپاچي وېب سرور، مای او PHP ټولګه موجوده سیستم ته اړتیا لري.

په یوه وېب سرور پوښۍ آرشيف راپاروونکو، تاسو ته پته کله چې دا نصبولو ته داخل ته ولاړ ساوتری. سره کارن نوم ليکنې د مخ. دلته تاسو باید خپل معلومات ورکړه او کلیک «جوړول». د یوه نوي پرده د کارونکي حرکت، د نظام تاسو خوابدۍ ته د ازموینې مواردو کې وټاکئ. د هغوی په منځ شته دي د دواړو له خوا د پېچکارۍ، او ګڼ شمېر نورو ازموينه توکي وباله.

د یادولو وړ ده چې د ايس کيو ايل د پیچکاریو ډول GET / د لټون يوه بېلګه په پام کې. دلته تاسو باید د غوره او کلیک «ورواړوو». وړاندې له دې چې د کارونکي به ښکاري، او د یوه فلم ځای لټون تار تقليد. برابرولو لپاره فلمونه کیدای شي د اوږد. خو یوازې 10. د مثال په توګه شتون لري، تاسو کولای هڅه د اوسپنې سړي ته ننوځي. دا به د فلم، نو د ځای کې کار کوي، او د جدولونو دا لرونکی ښيي. اوس موږ بايد په ځانګړې توګه quote وګورئ که ځانګړي خویونه سکرېپټ د چاڼګرونه،. د دې، په دې پته پټه کړئ. " سربیره پردې، د دې فلم د سرليک وروسته بايد ترسره شي. د ځای به یوه تېروتنه تېروتنه ورکړي: تاسو په خپل ايس کيو ايل العروض یوه تېروتنه لري. د لارښود چې د حق العروض ته نژدې '٪' په کرښه 1، چې څرګندوي چې د تورو تر اوسه نه دي په سمه توګه سمبال وکاروي 'ستاسو د مای سرور نسخه سمون وګورئ. نو تاسو کولی شئ هڅه چې ستاسې د غوښتنې سره تعويض کړي. خو موږ باید لومړی د برخو د شمېر محاسبه کړي. عمل & = لټون - له خوا د 2 http://testsites.com/sqli_1.php؟title=Iron+Man 'نظم: دا د دې په موخه له خوا، چې د يادي وروسته معرفي کارول.

دا امر یوازې نندارې ته د فلم، چې ده، د څانګو د شمير په پرتله 2. زیات د دوه نښلوونی د سرور چې د نورو غوښتنو ته باید د بيکاره شي راته په اړه معلومات. اوس بايد موږ ته ړک، تر هغه وخته چې د ګمراهي ده چاپ شوي نه اچولو زياتوالي اهميت. په پای کې، دا وګرځي چې په برخو کې به د 7 وي.

اوس دا وخت د اډې بهر څه ګټور ترلاسه کړي. لږ څه په پته پټه په غوښتنه بدلون، د یوه فورمه دا راوستلو: http://testsites.com/sqli_1.php؟title=Iron+Man 'اتحادیه منتخب 1، ډیټابیس ()، د کارونکي ()، 4، پټنوم، 6، 7 د کاروونکو څخه - & عمل = لټون. لکه څنګه چې د خپل د پلي کولو سره به د پټنوم hashes، چې کولای شي په اسانۍ سره په د درک سمبولونه د آنلاین خدماتو یو کارولو واړول شي د تار د ښودلو په پایله کې. يو لږ conjured او سره د ننوتو د پټی نوم راواخيسته، چې تاسو د بل چا د ننوتلو د لاسرسي تر لاسه کولای شي، لکه د ځای ادارې.

د محصول د يو وزن نوعې زرق ډولونه، چې تر تمرين لري. دا بايد په ياد ولرو چې د دغو مهارتونو کې د اصلي ځایونو په شبکه کې د کاريال د يو جرم وي.

مینی او PHP

د قانون په توګه، د PHP-کوډ او د اړتيا وړ د پروسس د غوښتنې د کارونکي څخه د راتلونکو لپاره په غاړه لري. له همدې امله، په دغه کچه تاسو باید په PHP ايس کيو ايل د پیچکاریو په وړاندې د دفاع جوړ کړي.

لومړی، راځئ چې د څو ساده لارښوونې ورکړي، په اساس د کوم دا ضروري نه ده.

• د معلوماتو بايد تل مخکې د ډیټابیس په ځای پروسس شي. دا کار يا د موجوده څرګندونې په کارولو سره، له خوا د پوښتنو په لاسي سازمان يا شي. دلته هم باید په پام کې چې د شمېريزو ارزښتونه دي چې د ډول چې اړتيا ده مسیحیت وکړي؛
• ډډه کنترول د مختلفو جوړښتونو لامل شو.

اوس په مای ايس کيو ايل پوښتنو تالیف ته د پیچکاریو په وړاندې د ساتنې د اصولو په اړه لږ.

په رسم پورته کوم اظهار ته QUERY دا مهمه ده چې د ايس کيو ايل عمده ارقام جدا.

• څخه جدول کې، چېرته چې د نوم = Zerg وټاکئ *.

په دې سازونې، د سيستم ښايي فکر وکړي چې Zerg - د هر ډګر په نوم، نو تاسو باید په يادي دا ضمیمه شی.

• وټاکئ * څخه جدول کې، چېرته چې د نوم = 'Zerg'.

خو وختونه شته دي چې د ارزښت د ځان قولونو لري.

• وټاکئ * څخه جدول کې، چېرته چې د نوم = 'د عاج ساحل'.

دلته یوازې د عاج D برخه سمبال کړي، او پاتې يو ټيم، چې، البته، نه په توګه درک کولای شي. له همدې امله، یوه تېروتنه واقع دی. بيا تاسو د چاڼ مالومات دا ډول ته اړتيا لري. د دې ګټه د یو backslash - \.

• وټاکئ * څخه جدول کې، چېرته چې د نوم = 'پيشو-D \' ساحل '.

د پورتنی ټول اشاره د کتارونو ته. که د عمل سره يو شمير ترسره کیږي، نو هیڅ يادي يا سلاشونو اړتيا نه لري. که څه هم، دوی بايد وغوښتل شي چې په زور د مطلوبه معلومات ډول شي.

سپارښتنې چې په برخه کې نوم بايد په backquotes احاطه شي. دا سمبول د کي بورډ چپ لوری پر دی، د يو tilde په اوږدو کې "~". دا د دې لپاره چې د مای کولای شي په سمه توګه د خپل د عمده څخه د ډګر په نوم توپیر.

سره د معلوماتو د خوځنده کار

ډیر وختونه، څخه د پوښتنو په کارولو سره د ډیټابیس، تولید dynamically هر ډول معلومات ترلاسه کړي. د مثال په توګه:

• وټاکئ * څخه جدول ځای شمېر = '$ شمېر'.

دلته، د متحول $ شمېره په توګه د ډګر د ارزښت په ټاکلو کې وفات شو. څه به وشي که دا شوه 'د عاج ساحل؟ تېروتنه.

د دې ستونزې د مخنيوي، د کورس، تاسو کولای شي د "جادو يادي" امستنې شامل دي. خو اوس دغه ارقام به نندارې ته شي چې هلته ضروري او لازم نه. برسېره پر دې، که کوډ دی په لاس لیکل شوي، چې تاسو کولای شي چې د نظام په خپله چاوديدل مقاومت د جوړولو لپاره یو لږ ډېر وخت ولګوي.

د د يو مخرېوند خپلواکه سربیره کولای شي mysql_real_escape_string وکاروي.

$ شمیره = mysql_real_escape_string ($ شمیر)؛

$ کال = mysql_real_escape_string ($ کال)؛

$ پوښتن = "په جدول کې ورننويستل (شمېر، کال، ټولګي) ارزښتونه (، '$ کال' '$ شمېر'، 11)".

دا به کار که څه هم د کوډ او د حجم زیاتوالی، تر اوسه په بالقوه توګه څومره خوندي.

ځېنيووني

ځېنيووني - چې د نښو ډول د کوم لپاره چې د نظام دا مني چې د دې ځای تاسو باید یوه ځانګړې دنده تر سره تعويض کړي ده. د مثال په توګه:

$ Sate = $ mysqli-> چمتو ( "وټاکئ ولسوالۍ څخه د شمېر په نوم =؟")؛

$ Sate-> bind_param ( "د" $ شمیر)؛

$ Sate-> اعدام ()؛

د کوډ په دې برخه کې د روزنې غوښتنه کېنډۍ اخلي او بيا د متحول شمېر ټینګ، او د اعدام دا. دا تګلاره تاسو ته اجازه دپوښتنی سره د پروسس او د هغې د پلي کولو ویشل. په دې ډول، دا د ناوړه کوډونه کارول شي خوندي دي SQL-.

څه د يو بريد

د ساتنې د سیستم - یو ډیر مهم عامل، چې نه هېر شي. البته، د یو ساده بزنس کارت ځای به بیرته آسانه وي. او که دا يوه لويه تانبه، د خدمت، فورم؟ که تاسو د امنيت په اړه فکر نه کوم عواقب څه دي؟

لومړی، یو هېکر کولای شي د دواړو د اډې د بشپړتیا مات کړي او دا په بشپړه توګه لرې. او که د ځای د مدیر یا hoster یو شاتړ نه کړي، تاسو به د سخت ځلې لري. تر ټولو، يو يرغلګر، یو واحد ځای چاوديدل، کولای شي چې د نورو په هماغه سرور سايټ ته ولاړ شي.

بل د شخصي معلوماتو د نندارچيانو د غلا ده. څنګه وکاروي - هر څه یوازې د یو هېکر د تصور محدود دی. خو په هر صورت، د پایلو به نه ډېره ښايسته وي. په تېره بيا که د مالي معلومات درلودل.

همدارنګه، د بريد کولای شي ډیټابیس لېږدونه او خپل ځان او بيا د خپل بدل کې پيسې شوکوي.

د ځای د مدیر په استازیتوب د غلطو کارنان، هغه شخص دوی نه شي، کوالی شي چې په منفي پايلې په توګه د درغلیو امکان حقایق.

پایلې

په دې ليکنه کې ټول معلومات د خبر رسونې په موخه یوازې برابر. استفاده دا یوازې باید د خپلو پروژو د امتحان کله چې زیانمننې کشف کړې او د حل يې.

د نورو په ژوره د څنګه د ايس کيو ايل د پیچکاریو د ترسره کولو تخنیکونه د يوې څېړنې، دا ضروري سره د اصلي څېړنې وړتیا او د ايس کيو ايل د ژبې د شکلونو پیل دی. لکه څنګه چې تالیف پوښتنو، عمده، د معلوماتو ډولونه، او دا چې دا د ټولو د کارولو.

هم نه شي کولای پرته د PHP او HTML عناصرو دندې چې د عملیاتو درک وکړي. د لومړني د کارولو لپاره زرق منونکو ټکي - یو ادرس کرښه، او د مختلفو لټون ډګر. د زده PHP دندو، د پلي کولو او ځانګړنې ميتود به تعین کړي چې څنګه د تېروتنو څخه ډډه وکړي.

د ډېرو چمتو جوړ سافټ وسایلو د شتون په ساحه مشهور زیانمننې په ژورې شننې لپاره اجازه. د تر ټولو مشهور د توليداتو يو - هنریار لینوکس. دا د يو لینوکس پر بنسټ د چليز غونډال، چې لري د وسیلې او پروګرامونه چې کولای شي د ځای قوت جامع تحلیل ترسره يو زيات شمېر انځور.

هغه څه چې تاسو ته اړتيا لري چې پوه شي چې څنګه د ځای ورواړوو؟ دا ډېر ساده - د ستاسو د پروژې یا ویب احتمالی ستونزی خبر وي، دا ضروري ده. په تېره بيا که دا سره آنلاین ورکړې، چې د پیسو د کارن مالومات کولای شي يو بريد له خوا شي استعمالېږي یو آنلاین پلورنځي.

د د موجودو معلوماتو امنیتي پرسونل د مسلکي مطالعه کولای شي د يو معيار او ژوروالی نوعه د ځای وګورئ بهر. له یو ساده د HTML-پيچکارۍ او ټولنیز انجنیری او د ټګۍ نه پیلول.